5 EU-direktivet om elektronisk signatur
EU-direktivet legger opp til å være teknologinøytralt, men omhandler i realiteten digitale signaturer som anvendes ved hjelp av offentlig nøkkel infrastruktur, PKI 1. Dette er en følge av det faktum at det per i dag synes som om løsninger basert på digitale signaturer og offentlig nøkkel infrastruktur, med tilhørende tjenester fra en sertifikatutsteder, er mest aktuelt. En mulig trend er at andre (biometriske) løsninger i større grad vil bli brukt i kombinasjon med digital signatur.
Direktivet omhandler flere områder:
Markedsadgang: Landene må ikke stille krav om at sertifikatutstedere skal godkjennes forut for oppstart av virksomheten, men kan introdusere frivillige akkrediteringsordninger, med sikte på å etablere sertifikattjenester på «avansert nivå». Landene skal også sikre at det opprettes et system for å øve tilsyn med sertifikatutstedere som utsteder kvalifiserte sertifikater. Landene kan dessuten stille tilleggskrav til elektroniske signaturer i offentlig sektor.
Indre marked: Sertifikatutstedere etablert i EØS-området skal kunne tilby sine tjenester i et annet medlemsland. Landene skal også sikre at elektroniske signaturprodukter som er i samsvar med direktivet, kan sirkulere fritt i det indre markedet.
Rettsvirkning: Landene skal sikre at en kvalifisert elektronisk signatur 2 anerkjennes på linje med håndskrevne signaturer og kan legges frem som bevis i retten på samme måte som for håndskrevne signaturer, så fremt lover og forskrifter åpner for at signeringen kan skje elektronisk.
Landene skal dessuten sikre at elektronisk signatur på et annet nivå ikke fratas rettsvirkning bare fordi signaturen er i elektronisk form, ikke er basert på et kvalifisert sertifikat utstedt av en akkreditert tjenesteleverandør, eller ikke er laget av et sikkert signaturfremstillingssystem.
Ansvar: For å skape tillit hos de som baserer seg på sertifikatene har direktivet regler om erstatningsansvar for sertifikatutstedere. Landene skal sikre at utstedere av kvalifiserte sertifikater er ansvarlige for at informasjon angitt i sertifikatet er korrekt, i overensstemmelse med direktivets krav, og at personen som er identifisert i sertifikatet var i besittelse av korrekt signaturfremstillingsdata på det tidspunktet da sertifikatet ble utstedt. Imidlertid er sertifikatutstederen ikke ansvarlig dersom hun kan vise at hun ikke har vært uaktsom. Sertifikatutstederen er heller ikke ansvarlig når en kvalifisert signatur blir brukt utover de beløps- eller områdebegrensninger som er tydelig angitt i sertifikatet.
Internasjonale forhold: Landene skal sikre at kvalifiserte sertifikater utstedt i et tredjeland anerkjennes som rettslig likeverdige med kvalifiserte sertifikater utstedt innen EU, dersom sertifikatutstederen er akkreditert i et medlemsland. Likedan skal kvalifiserte sertifikater anerkjennes dersom en utsteder i et medlemsland som fyller kravene som er angitt i vedlegg II til direktivet, garanterer for sertifikatet i samme utstrekning som sitt eget, eller dersom utstederen er anerkjent under et regime etablert ved bi- eller multilateral avtale.
Personvern: Landene skal sikre at virksomheten til sertifikatutsteder er i overensstemmelse med personverndirektivet 3. Sertifikatutstederens innsamling av persondata skal begrenses til det som er nødvendig for sertifikatutstedelse og skal skje direkte fra datasubjektet. Slike data kan ikke brukes til andre formål uten samtykke fra datasubjektet. Dersom underskriveren ønsker det, skal pseudonym nyttes i sertifikatet i stedet for underskriverens navn.
Dersom det er krav til, iht. nevnte direktiv eller nasjonal rett, å sende informasjon vedrørende innehaverens identitet til en offentlig myndighet (i) på grunn av etterforskning av straffbar handling som relateres til bruk av elektronisk signatur med pseudonymsertifikat eller (ii) som er påkrevet for å kunne fremme krav relatert til bruk av elektronisk signatur med pseudonymsertifikat, skal slik overføring logges og «datasubjektet» skal bli informert.
Komité: Det skal ifølge artikkel 9 og 10 i direktivet etableres en komite til å bistå Europakommisjonen med å gjennomføre direktivet. Komiteen skal bl.a. avklare uklarheter vedrørende krav som stilles i direktivets vedlegg og krav vedrørende sikre signaturfremstillingssystem. EFTA-land deltar fullt ut i komiteen med unntak av stemmerett.
Underrettelse:Landene skal informere Europakommisjonen om nasjonale akkrediteringsordninger, navn og adresse på nasjonale tilsynsorganer og organ som godkjenner sikre signaturfremstillingssystem og akkrediterte tjenesteleverandører.
Evaluering av direktivet: Direktivet og praktiseringen av det skal gjennomgås, blant annet med henblikk på om direktivets rekkevidde skal endres i lys av utviklingen. Kommisjonen skal legge frem en rapport for Europaparlamentet og Rådet senest tre og et halvt år etter at direktivet har trådt i kraft.
Implementering: Implementering av direktivet skal skje innen 18 måneder etter at det blitt publisert i EF-Tidende 4. Den samme tidsfristen gjelder for EØS-landene.
Fotnoter
PKI - Public Key Infrastructure - offentlig nøkkel infrastruktur, se kapittel 3.1.
En kvalifisert signatur er en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og som er fremstilt av et sikkert signaturfremstillingssystem.
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
EU-direktivet ble publisert i De Europeiske Fellesskaps Tidende (EF-Tidende) den 19. januar 2000.